微軟修復了 Windows 11 危險的記事本 Markdown 安全漏洞

• 微軟修復了現代記事本應用程式中的遠端程式碼執行漏洞。
• 此漏洞涉及惡意 Markdown (.md) 檔案中未正確清理的特殊字元。
• 這一事件引發了關於是否應該在原本簡單的應用程式中添加人工智慧和其他不必要的功能的爭論。
• 該漏洞已通過 2026 年 2 月的更新修復，可透過 Windows 更新和 Microsoft Store 取得。

微軟修復了最新版本記事本應用程式中的一個新漏洞，該漏洞可能允許攻擊者透過一個簡單的技巧控制您的Windows 11系統。

此漏洞編號為 CVE-2026-20841，是遠端程式碼執行漏洞，會影響筆記應用，尤其是在處理 Markdown 檔案時。根據微軟安全更新指南，該應用程式未能正確清理嵌入在精心建構的連結中的某些特殊字元。攻擊者可以創建惡意“.md”文件，並誘騙用戶打開它。

如果使用者點擊了嵌入的鏈接，腳本就會啟動，下載額外的惡意程序，並在系統上執行程式碼。在攻擊成功的情況下，攻擊者可以獲得與登入使用者相同的權限。

微軟表示，目前尚未發現有人在實際環境中利用該漏洞。然而，該漏洞的嚴重性足以讓微軟立即在2026年2月的「週二修補日」更新中推送修復程序。

這個案例之所以特別引人關注，是因為最近圍繞著記事本發展演變的爭議。從歷史上看，這款應用程式一直是一款極簡主義的離線文字編輯器，除了基本的檔案處理功能外，幾乎沒有任何攻擊面。

然而，現在新增的功能越多，例如依賴網路連線的 Markdown 渲染增強和 Copilot 集成，就越容易受到攻擊。

微軟已於 2026 年 2 月 10 日發布安全性更新修復了此漏洞。使用者可透過Windows 更新和 Microsoft Store 應用程式更新機制取得此修復程式。使用者應安裝最新的累積更新，並確保記事本已從 Microsoft Store 完全更新，以修補此漏洞。

從編輯角度來看，這事件強化了軟體設計中一個長久以來的原則：簡潔性本身就是一種安全特性。

記事本最初最大的優點在於其極簡設計。隨著這家軟體巨頭不斷對其最基本的工具進行現代化改造，每項新功能都必須權衡其帶來的風險。例如，人工智慧整合等功能雖然能帶來便利，但也需要更強大的安全保障。

平心而論，記事本並非唯一出現問題的筆記應用程式。最近，廣受歡迎的Notepad++ 也遭到了惡意攻擊。不過，這次的問題出在託管服務供應商，攻擊者利用被竄改的更新清單將使用者重新導向到惡意伺服器，而非 Notepad++ 應用程式本身。

此後，該開發者已經更換了服務供應商，並發布了 Notepad++ 的更新版本以提高安全性。